`

Hibernate防止SQL注入攻击的方法

 
阅读更多

如果在查询字段中输入单引号"'",则会报错,这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql,实际上这就是SQL注入漏洞,后来我在前台和后台都对输入的字符进行了判断。

 

永远也不要写这样的代码:

     String queryString = "from Item i where i.description like '" + searchString + "'";
     List result = session.createQuery(queryString).list();

    如果用户输入:foo' and callSomeStoredProcedure() and 'bar' = 'bar,则你的程序在执行一个简单查询后,还会调用某个存储过程,

这样你的程序就开了一个安全漏洞,如果用户偶尔输入了一个单引号,你的程序就可能报错。

 

永远也不要把未经检查的用户输入的值直接传给数据库!

幸运的时有一个简单的机制可以避免这种错误:

JDBC在绑定参数时有一个安全机制,它可以准确的将那些需要转义的字符进行转义(escape),

如上面的searchString,它被escape,不再作为一个控制字符了,而是作为被查询的匹配的字符串的一部分。(这里指的是prepared statement,而是用普通的statment不行,我试过)。

另外,如果我们使用参数绑定,还可以提高数据库的执行效率,prepared statement语句被编译一次后,被放在cache中,就不再需要编译,可以提高效率。

参数绑定有2种办法:使用positional parameter或者named parameter。

Hibernate支持JDBC样式的positional parameter(查询字符串中使用?),它同使用named parameter的效果一样(查询字符串中使用:)。

使用named parameter

使用named parameter,我们重新写上面的查询语句:

String queryString = "from Item item where item.description like :searchString";

冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:

    List result = session.createQuery(queryString)
                      .setString("searchString", searchString)
                      .list();

因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!

如果有多个参数需要被帮定,我们这样处理:

String queryString = "from Item item "
                           + "where item.description like :searchString "
                           + "and item.date > :minDate";
List result = session.createQuery(queryString)
                  .setString("searchString", searchString)
                   .setDate("minDate", minDate)
                  .list();

使用positional parameter

    如果你喜欢,也可以使用positional parameter:

String queryString = "from Item item "
                           + "where item.description like ? "
                           + "and item.date > ?";
List result = session.createQuery(queryString)
                  .setString(0, searchString)
                  .setDate(1, minDate)
                  .list();

这段代码可读性强不如上面的强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:

String queryString = "from Item item "
                            + "where item.date > ? "
                           + "and item.description like ?";

这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用named parameter方式进行参数绑定。

最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?

String userSearch = "from User u where u.username like :searchString"
                           + " or u.email like :searchString";
List result = session.createQuery(userSearch)
                  .setString("searchString", searchString)
                   .list();

不要使用

为了防止SQL注入,避免使用拼凑SQL语句的方式!!!

 

在Hibernate+Spring中getHibernateTemplate()返回的对象可以调用find(String queryString, Object value...Object value)来实现 named parameter。比如:

 

  1. Date startTime =  new  Date();  
  2. Date endTime = new  Date();  
  3. String queryString = "from SdmsRacalertLog as log where"  +  
  4. " log.alertTime between :startTime and :endTime" ;  
  5. return  getHibernateTemplate().find(queryString, startTime, endTime); 
分享到:
评论

相关推荐

    防止SQL注入式攻击

    6. **使用ORM(对象关系映射)框架**:如Hibernate或Entity Framework等,它们会自动处理SQL语句的构建,通常能更好地防止SQL注入。 7. **更新和维护**:保持数据库系统和应用程序的最新状态,及时修复已知的安全...

    防止sql注入解决方案

    可以配置WAF来检测和阻止SQL注入攻击,它可以根据已知的攻击模式进行过滤。 9. **定期更新与修补**: 保持数据库管理系统和应用程序框架的最新版本,及时修补已知的安全漏洞。 10. **安全编码训练**: 对开发...

    Hibernate使用中防止SQL注入的几种方案

    以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...

    防止sql注入demo

    - 使用预编译语句(PreparedStatement):这是防止SQL注入最常用的方法。预编译语句会将用户输入与SQL语句分离,确保即使输入含有恶意代码,也不会被执行。例如: ```java String query = "SELECT * FROM users ...

    sql注入法攻击sql注入法攻击.rar

    对于想要深入了解和防止SQL注入的人来说,这些资源可能会非常有用。 总的来说,理解SQL注入的原理和防范措施是每个IT专业人员必备的知识,特别是那些负责开发、维护Web应用和数据库安全的人员。通过学习和实践,...

    SQL注入攻击及其防范浅谈

    SQL注入攻击是网络安全领域中一个严重的问题,它发生在应用程序与数据库交互时,攻击者通过输入恶意的SQL代码,使得数据库执行非预期的操作,可能导致数据泄露、数据篡改甚至整个系统的瘫痪。这篇博客将深入探讨SQL...

    SQL注入攻击与防御.rar

    SQL注入攻击是网络安全领域中一个严重的问题,它发生在应用程序与数据库交互时,恶意用户通过输入特殊的SQL代码,篡改原本的查询语句,从而获取、修改、删除敏感数据或者控制系统。这种攻击方式对企业的信息安全构成...

    sql注入攻击防范解析

    SQL注入攻击是网络安全领域中一个严重的问题,它发生在应用程序未能充分验证或清理用户输入的数据时。当恶意用户通过输入特定的SQL代码,使得数据库执行非预期的操作,就可能发生SQL注入。这种攻击可能导致数据泄露...

    SQLInner防止SQL注入式攻击源码

    SQL注入是一种常见的网络安全威胁,它利用了不安全的SQL语句设计来操纵数据库。...通过深入研究SQLInner的源代码,开发者可以更好地理解和实施这些安全策略,提高应用程序的防护能力,防止SQL注入攻击。

    SQL注入攻击及其解决方案--替换特殊字符.rar

    SQL注入攻击是网络安全领域中一个严重的问题,它发生在应用程序与数据库交互时,允许恶意用户通过输入含有SQL代码的参数来操纵或控制数据库。这种攻击方式可能导致数据泄露、数据篡改,甚至完全控制系统。本文件...

    有效防止SQL注入的5种方法总结

    SQL注入是一种严重的网络安全威胁,它利用开发者在编程时...通过上述方法,可以显著提高应用程序的防护能力,有效地防止SQL注入攻击。然而,安全是一个持续的过程,需要开发团队持续关注新的威胁,并及时更新防御策略。

    jsp 防止sql注入jsp 防止sql注入

    不过这种方法可能不足以防御所有类型的SQL注入攻击。 5. **使用ORM框架**: 框架如Hibernate、MyBatis等,会自动处理SQL注入问题,因为它们在底层实现了参数化查询。使用这些框架能显著提高安全性,同时减少手动...

    修改请求参数 防止 SQL 注入、防止脚本注入

    总的来说,防止SQL注入和XSS攻击是Web开发中的基础安全措施。通过理解这些攻击方式的工作原理,并在代码中实施相应的防护机制,我们可以大大降低系统被攻击的风险,保障用户数据的安全。记住,安全不是一次性的任务...

    SQL注入漏洞演示源代码

    防止SQL注入的方法主要有以下几点: 1. **参数化查询**:使用预编译的SQL语句和参数,如PHP的PDO或MySQLi的预处理语句,可以确保用户输入被当作数据而非代码处理。 2. **输入验证**:对用户输入进行严格的验证,...

    SQL注入全面讲解技术文档

    通过理解其原理,采取有效的预防措施,以及定期评估和更新防护策略,可以大大降低SQL注入攻击的风险。对于初学者和专业开发者来说,深入研究SQL注入的各个方面,包括入门、进阶和高级技巧,是提升系统安全性的关键...

    Hibernate中Sql语句

    这可以通过字符串拼接实现,但需要注意防止SQL注入攻击。 ```java String sf = "select sum(c.productid) productSum, p.cityid cityName from a_chip c, a_productboxlog p where c.u_id = p.u_id"; // ...条件...

    SQL注入攻击的种类和防范手段,代码教程

    SQL注入攻击是网络安全领域中的一个严重威胁,它发生在应用程序与数据库交互时,恶意用户通过输入特殊的SQL代码,篡改原本的查询逻辑,从而获取、修改、删除敏感数据或执行非法操作。了解SQL注入的种类和防范手段...

    web测试之安全测试方法:sql注入方法

    6. **应用防火墙(WAF)**:配置Web应用防火墙,检测并阻止SQL注入攻击。 7. **更新与维护**:保持应用程序和数据库系统的最新安全补丁,避免已知漏洞被利用。 了解并掌握SQL注入的各个方面,是保障Web应用安全的...

    防止SQL注入dbq

    通过阅读和理解这段代码,开发者可以更好地掌握防止SQL注入的方法,并将其应用到自己的项目中。 总之,防止SQL注入是开发安全应用程序的重要环节。开发者应当采用预编译语句、参数化查询、输入验证等多层防御策略,...

    用Java Web防范SQL注入攻击.pdf

    1. **参数化查询/预编译语句(PreparedStatement)**:使用PreparedStatement代替Statement,可以有效防止SQL注入。预编译语句将SQL命令和用户输入分开,确保即使用户输入包含特殊字符,也不会被解析为SQL指令。 2....

Global site tag (gtag.js) - Google Analytics